Подписать ключ PKI-сертификатом от интернет-банка


Возможно ли это?
Понятно что подписать можно любой текст прозрачной подписью, в том числе и любые ключи. Но хотелось бы чтобы такой ключ сохранился в стандартной связке. Это возможно? Было бы очень красиво.

(Web of Trust себя не оправдала – нужных мне людей в ней, конечно, нет. Поэтому хочу попросить их подписать свои PGP-ключи сертификатами от разных банков, благо сейчас они у всех (иностранцев) есть.)

Комментарии
— SATtva (28/10/2010 19:03)   
OpenPGP и X.509 — несовместимые стандарты. Подписать OpenPGP-ключ сертификатом X.509 невозможно. Более того, оконечные сертификаты X.509 (в отличие от корневых и промежуточных) имеют запрет на сертификацию ключей.
— глобус (29/10/2010 07:05)   
что значит запрет? если есть публичный и секретный ключи то что может помешать пользователю сделать подпись?

сертификат это же просто подписанный кем-то публичный ключ
— SATtva (29/10/2010 07:26)   
Это значит, что есть определённые нормы стандарта, в частности, понятие constraints. Разумеется, Вы, математически, вольны делать с ключом всё, что угодно (хоть преобразовать его в сертификат OpenPGP), только это уже не будет иметь к X.509 PKI никакого отношения.
Гость (29/10/2010 11:26)   
Ну типа как ладьёй ходить по диагонали :)
— глобус (30/10/2010 08:12)   
Понятно

Мне это нужно не в рамках корпоративного стандарта а чтобы Васю из Белфаста аутентифицировать сидючи на Алтае
— SATtva (30/10/2010 08:56)   
У PGPCorp есть спецификация по паковке иерархий сертификатов X.509 в формат, совместимый с OpenPGP. Только кроме PGP её никто не поддерживает.
— unknown (11/11/2010 14:00)   
Но идут работы по стандартизации схожих решений:
Using OpenPGP Keys for Transport Layer Security (TLS) Authentication[link1]
Web of Trust себя не оправдала – нужных мне людей в ней, конечно, нет. Поэтому хочу попросить их подписать свои PGP-ключи сертификатами от разных банков, благо сейчас они у всех (иностранцев) есть.)

И ещё неизвестно кто в итоге чего не оправдает.
— SATtva (11/11/2010 14:06)   
В GnuTLS поддержка уже есть, по-моему.
— unknown (11/11/2010 14:49, исправлен 11/11/2010 14:51)   

Ага[link2], точно. Осталось встроить в браузеры и почтовые программы (и соотвественно была бы поддержка на серверах), чтобы была возможность хотя бы для тех, кому это нужно.

Especially in distributed environments where the concept of authorities is not clear, the use of the Openpgp trust model has obvious advantages.
We believe that users should have the freedom to choose the trust model that suits best their needs, thus in GnuTLS we have implemented both.

Ссылки
[link1] http://www.cosic.esat.kuleuven.be/publications/article-1504.pdf

[link2] http://www.gnu.org/software/gnutls/openpgp.html